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ONLINE BÄNKIEREN 
MET HET VEILIGSTE 
ENDPOINT-DEVICE 


Als het gaat om geldtransacties is online bankieren voor ons | ge patronen voordoen aan de kant van 


de standaard geworden, zowel zakelijk als privé. Dat komt 


erg aantrekkelijk voor beide partijen. 


Maar rechtmatige gebruikers zijn niet de ; 
enige geïnteresseerden in online ban- ' 
kieren - ook cybercriminelen houden de | 
ontwikkelingen nauwlettend in de gaten. 
Het is dan ook niet verwonderlijk dat on- i 
line bankieren steeds vaker succesvol- ' 
le aanvallen te verduren heeft. Elk jaar i 
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i de server. Tegelijkertijd werkten ze aan 


door drie belangrijke zaken: het is handiger en sneller voor 


de klant en goedkoper voor de bank zelf. Deze combinatie ; mieuwe mechanismen die garanderen 


verklaart de populariteit van online bankieren en maakt het | hae Pe ee Oen 

| de integriteit van de transacties kloppen. 
i Waarschijnlijk heb je een aantal van deze 
| mechanismen al gezien: 2FA, TAN-num- 
verliezen bedrijven miljoenen euro's en 
banken zijn druk bezig deze toename 
een halt toe te roepen door hun bevei- i 
ligingsinfrastructuur te verbeteren. Zo i 
voegden ze bijvoorbeeld mechanismen | 
toe die geldstromen analyseren en di- i 
rect reageren als zich nieuwe en vreem- i 


de klantinterface. Daar kwamen ze met 


mers, mTAN, chipTAN, enzovoort. Cyber- 
criminelen houden echter niet zomaar 
op als ze eenmaal een grote kans als 
online bankieren hebben ontdekt. Zij blij- 
ven hun tools verbeteren, zodat ze altijd 
de technische capaciteit hebben om al 
deze mechanismen aan te kunnen. Een 


escalerend actie-/reactie-conflict tussen 
banken en cybercriminelen dus. Banken } 
hebben hierbij twee tegenstrijdige taken: } 
enerzijds het beveiligen van de transac- } 
tie - wat enorm veel controles en checks | 
met zich meebrengt - en anderzijds het 
bieden van gebruiksgemak, wat bete- i 
kent dat ze niet te opdringerig kunnen ' 
zijn bij het bevestigen van de identiteit en ' 


integriteit. 


Als CTO van Qualys praat ik veel met i 
securityprofessionals en IT-beheerders i 
bij bedrijven die de beveiliging van hun i 
online-bankierenomgeving willen verbe- | 
teren. Het is duidelijk dat de endpoints 
die gebruikt worden voor online ban- i 
kieren de meest interessante doelwitten } 
zijn. De gebruikers van deze endpoints i 
zijn aan te wijzen door het gebruik van | 
professionele netwerken als Xing en Lin- 
kedin, wat hen ontvankelijk maakt voor ' 
phishing-aanvallen. Gelukkig kunnen wij i 
als IT-beheerders genoeg doen om cy- ' 
bercriminelen een stap voor te blijven en ' 
zo niet het slachtoffer te worden van de ; 
strijd. Het belangrijkste is ervoor te zor- 
gen dat de computing-uitrusting die we } 
gebruiken niet over te nemen is door cy- i 
bercriminelen. Je bedrijf heeft een aantal i 
technische mogelijkheden om de end- ! 
points in online bankieren te beveiligen. 
Ik zet ze op een rij, van minst veilig tot i 


veiligst. 


l. Een Windows-pc, die ook wordt 
gebruikt voor normale kantoorwerk- | 


zaamheden 


Windows is veruit het populairste bestu- i 
ringssysteem voor desktops en laptops i 
en wordt veel gebruikt voor e-mail, sur- | 
fen en het bewerken van documenten. 
Helaas is het ook het populairste bestu- i 
ringssysteem om aan te vallen. Denk aan i 
phishing-aanvallen die binnenkomen via i 
je zakelijke en privémail en ‘watercoo- | 
ler'-aanvallen, die profiteren van jouw 
surfgewoonten. Microsoft en andere ' 
softwareleveranciers als Adobe (Adobe ' 
Reader en Adobe Flash) brengen elke ' 
maand updates van hun software uit. } 
Hiermee pakken ze de kritieke kwets- : 
baarheden aan die geliefd zijn bij cyper- 
criminelen. Maar zelfs als de IT-afdeling } 
de Windows-pc's volledig gepatcht on- } 
derhoudt en een up-to-date beveiligings- } 
suite installeert, kunnen cybercriminelen ! 
hun gang gaan. Ze kunnen pc's infecte- 
ren met malware, je gebruikersnamen i 
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en wachtwoorden opslaan en 2FA- en i 
TAN-verzoeken onderscheppen en om- i 
leiden. De cybercriminelen gebruiken ! 
zero-day-kwetsbaarheden, 
zowel in Windows als in geïnstalleerde ' 
applicatiesoftware. Zero-day-kwetsbaar- i 
heden zijn niet bekend bij Microsoft en i 
de grote securityleveranciers. Vaak blijft | 
dat maandenlang zo en ondertussen ge- i 
bruiken cybercriminelen ze in hun aan- } 
vallen. Met de huidige technologie op i 
pe-gebied is de bescherming tegen ze- ' 
| je netwerk. De meest kritieke issues zijn 


zogeheten 


ro-days bijzonder lastig. 


Gebruik je een normale kantoor-pc voor i 
online bankieren? Dan kun je de situatie į 


2. Pc's met andere besturings- 
systemen 

De kans dat pc's met een besturings- 
systeem als Mac OS X of Linux worden 
aangevallen is minder groot dan bij hun 


' Windows-soortgenoten. Beide bestu- 


ringssystemen hebben echter hun eigen 
kritieke kwetsbaarheden. Denk aan de 
recente kritieke ‘Shellshock'-kwetsbaar- 
heid die Linux op een nogal eenvoudige 
manier binnentrad. Desalniettemin focus- 
sen cybercriminelen niet zozeer op deze 
besturingssystemen. De cybercrimetool- 
kits, verkrijgbaar op de zwarte markt, 
zijn over het algemeen alleen gericht op 


i Windows. Een pc met een ander bestu- 


ringssysteem dan Windows is een goede 
keuze voor als je online wil bankieren. 


3. Een Windows-pc, die alleen voor 
bankieren gebruikt wordt 

Een Windows-pc toewijzen voor alleen 
online bankieren is een goede keuze 
- daardoor is hij zeer bestendig tegen 
cyberaanvallen. Als je het apparaat up- 
to-date houdt met patches en beveili- 
gingssoftware en je gebruikt de compu- 
ter niet voor andere taken, dan verklein 
je het aantal mogelijke aanvallen aan- 
zienlijk. De overige aanvalsvectoren zijn 
dan andere geïnfecteerde apparaten op 


gestolen beheerdersgegevens. Zo'n is- 
sue houd je onder controle door verschil- 


Een bedrijf heeft een aantal 
technische mogelijkheden 
om de endpoints in online 
bankieren te beveiligen 


iets verbeteren door een andere brow- i 
ser dan Internet Explorer te gebruiken } 
voor je banktransacties. Op deze manier i 
ontwijk je een klein deel van de infecties | 
gericht op Internet Explorer. Ik raad de } 
Google Chrome-browser aan als krach- i 
tig alternatief. In de afgelopen jaren is i 
die het meest veerkrachtig gebleken in i 
vergelijkende onderzoeken gericht op | 
browsermisbruik. Maar zelfs met Chro- 
me kan ik het niet aanraden te bankieren i 
met een Windows-apparaat dat ook voor ' 
normale kantoorwerkzaamheden ge- ' 


bruikt wordt. 


lende inloggegevens voor elk apparaat in 
te stellen. Kies dus voor een Windows-pc 
die je alleen gebruikt voor online ban- 
kieren. En dat is niet alleen mijn mening; 
Europese en Amerikaanse banken advi- 
seren hetzelfde. 


4. Mobiele platformen, tablets en 
smartphones 

Tablets en smartphones hebben bestu- 
ringssystemen die een generatie jonger 
en beter zijn dan je normale pc. Deze be- 
sturingssystemen zijn ontworpen met in 
het achterhoofd de ervaring met bestu- 
ringssystemen voor algemene doelein- 
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den, zoals Windows, Mac OS X en Linux. 
Met dergelijke besturingssystemen we- i 
ten we niet precies hoeveel gebruik klan- ' 
ten van het apparaat zullen maken en dus ! 
moeten we maximale flexibiliteit hante- i 
ren. Cybercriminelen misbruiken deze i 
kracht en flexibiliteit. En dat heeft ons ' 
gebracht tot de situatie zoals hij nu is: we ' 
vernieuwen oude besturingssystemen ! 
met beveiligingsprogramma's, zoals au- 
tomatische updaters, integriteitschecks i 
en inbreukdetectiesystemen. Besturings- i 
systemen voor tablets en smartphones i 
zijn doelgericht geschreven met als uit- 
gangspunt een krachtige beveiliging. 
Denk maar eens terug aan de eerste ver- 
sies van de iPhone/iOS-combinatie van i 
Apple, waarbij de scheiding tussen ap- } 
plicaties zo ver was doorgevoerd, dat ko- | 
piëren en plakken niet mogelijk was. Een 
aantal van deze beperkingen is soepeler } 
geworden in de loop van de tijd. Het idee ) 
van een sterke beveiliging blijft echter i 
van kracht. Het aantal infecties op mo- | 
biele apparaten is nu zeker twee orden 
van grootte kleiner dan in de pc-wereld. i 
Bij de iPad en iPhone van Apple zijn in- i 
fecties nagenoeg niet bekend. Een tablet ' 
is dus een erg goede keuze voor online | 


bankieren. 


5. Chromebase en vergelijkbaar 


Google wilde zijn browser de universe- i 
le applicatie voor consumenten maken | 
en kwam daarom met een nieuw bestu- 
ringssysteem: ChromeOS. In essentie is i 
ChromeOS de Chrome-browser aange- ' 
vuld met een minimaal aantal opties die i 


noodzakelijk zijn om de browser te laten 


draaien, zoals netwerk- en gebruikersbe- 
heer. Dat maakt ChromeOS nog beperk- ; 


ter in zijn mogelijkheden dan een mobie 


besturingssysteem. Een aantal hardwa- i 
releveranciers heeft het nieuwe bestu- | 


ringssysteem gelicenseerd en kwam me 


desktops (Chromebox en Chromebase). 


Deze apparaten zijn mogelijk veel min- | 
der krachtig dan je gemiddelde pc, wat 
resulteert in een langere acculevensduur i 
en een lagere prijs. Daarnaast zijn ze bin- i 
nen een aantal seconden opgestart. Ook i 
blijven ze altijd up-to-date door hetzelfde | 
bewezen mechanisme voor continue, au- 
tomatische updates als de Chrome-brow- i 


100.000 dollar. Een Chromebase, -book ; 
of -box is een uitstekende keuze voor i 
online bankieren (zelf gebruik ik nu bij- ' 
na een jaar een Chromebase voor online ! 
bankieren, en hoewel mijn creditcard in i 
die tijd twee keer vernieuwd is, voel ik } 
} de bank two-factor authenticatie (2FA) 
| biedt, zou het geactiveerd moeten zijn. Ik 
En dat is ‘m dan, mijn persoonlijke rang- 
i lijst voor online bankieren. Ik weet zeker ' 
i dat er andere mogelijkheden zijn die ik ' 
' niet behandeld heb, maar die wel aan- ' 
trekkelijk zijn vanuit beveiligingsoogpunt. | 
Ik heb bewust pc's die draaien vanaf 
LiveCD uitgesloten. Dit is een uitsteken- i 
de manier om de integriteit van het be- i 
sturingssysteem te garanderen, omdat i 
i het wordt geladen vanaf een alleen-le- ' 
| zen-medium (een cd of dvd). Toch denk 
ik dat het voor de meeste gebruikers on- 
handig is om steeds dat nogal trage pro- i 
i ces, dat bij de meeste LiveCD's komt kij- i 
ken, te doorlopen. Dat varieert natuurlijk | 
per gebruiker, maar ik denk dat het voor 
| de meesten te omslachtig is. | 
computers die draaien op ChromeOS: i 
laptops (de zogeheten Chromebooks) en i 


me nog steeds veilig op dit platform). 


gebruiker te implementeren. Vaak is he 


male Windows-pc. Maar de klant beveili- 
gen is slechts een van de componenten 
van je banktransacties. Het is verstandig 
om met je eindgebruikers te praten over 
het beveiligen van de instellingen aan 
de kant van de bankierenapplicatie. Als 


ben voorstander van apparaten speciaal 
voor 2FA. Ik geef dus eerder de voorkeur 
aan ChipTAN dan aan mTAN, aangezien 
de kans dat een aanvaller de transactie 
manipuleert veel kleiner wordt met een 


apart device. Evenzo is het slim om noti- 
ficaties voor belangrijke transacties in te 
stellen. Hier kies ik liever voor sms- dan 
voor e-mailnotificaties, simpelweg omdat 


sms over het algemeen veel meer opvalt 
dan e-mail. Daarbij is versleuteling be- 


langrijk om je bedrijfsdata en transacties 
die in behandeling zijn te beschermen. 
Zorg er dus meteen voor dat je eindge- 


bruikers checken of ze een versleutel- 
de verbinding hebben als ze inloggen 


: op de website van je bank. Dit houdt in 
i dat de pagina waar ze hun persoonlijke 
In mijn ogen is online bankieren een ge- | 
i weldige kans om beveiligingsmaatrege- | 
len afgestemd op het datagebruik van de 
i een groen slot zien in de url-balk van de 
voor IT-beheerders een uitdaging om te i 
bepalen tot hoeveel bedrijfskritische data ' 
een eindgebruiker toegang heeft. Maarin | 
dit geval zijn gebruikers en het risico op i 
verlies behoorlijk duidelijk gescheiden. ' 
IT-beheerders kunnen de beveiliging van ' 
ser zelf. Tot op heden zijn securityonder- } het online bankieren binnen hun bedrijf | 
zoekers er niet in geslaagd in te breken | 
in een ChromeOS-apparaat, ondanks 
de uitgeloofde behoorlijke beloning van ' 


gegevens, zoals rekeningnummer en/of 
wachtwoord, intypen al versleuteld moet 
zijn. Ook moeten ze bevestigen dat ze 


browser en dat de url overeenkomt met 
de naam van de bankwebsite waarop ze 
wilen inloggen. Uitzonderingen hierop 
mogen ze niet accepteren. Dat garan- 
deert dat ze daadwerkelijk een verbin- 
ding aangaan met de website die ze wil- 


"len. 
verbeteren door te kiezen voor een van 
de hierboven genoemde opties - met uit- i 
zondering van het gebruik van een nor i 
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